Глава 14. Сеть и Коммуникационные Утилиты

Утилиты, описанные в этой главе, сосредотачиваются на сети и связи устройства. TCPView походит на версию GUI утилиты Windows Netstat, показывая TCP и конечные точки UDP на Вашей системе. Whois - утилита командной строки для того, чтобы искать ­информацию о регистрации Интернет-домена ­или для того, чтобы выполнить обратные поиски DNS от IP-адресов. И Portmon - утилита для того, чтобы контролировать ввод-вывод последовательного и параллельного порта в режиме реального времени. Эта глава не касается Монитора Проводника или Процесса Процесса, хотя оба включают контрольную функциональность сети. Они охватываются в главах 3 и 4, соответственно.

TCPView

TCPView, показанный в рисунке 13-1, является программой GUI, которая показывает актуальные и подробные списки всего TCP и конечных точек UDP на Вашей системе, включая конечные точки IPv6 и IPv4. Для каждой конечной точки это показывает имя процесса обладания и ID процесса (PID), локальные и удаленные адреса и порты, и состояния соединений TCP. Когда выполнено с административными правами, это также показывает числа пакетов, отправленных и полученных через те конечные точки. Щелкните по любому заголовку столбца, чтобы сортировать представление тем столбцом.

 

Рис. 13-1. TCPView.

По умолчанию TCPView автоматически обновляет однажды в секунду. Можно установить скорость обновления в две или пять секунд через меню View или выключить автоматическое обновление в целом.

Нажмите клавишу "Пробел", чтобы переключиться между автоматическим и ручным режимом обновления, и нажать F5, чтобы обновить представление. Новые конечные точки начиная с предыдущего обновления выделяются в зеленом, и конечные точки, которые были удалены, так как предыдущее обновление выделяется в красном. Конечные точки, которые изменили состояние, выделяются в желтом.

Опция Resolve Addresses TCPVIEW идет по умолчанию, у которого есть решение TCPView доменные имена IP-адресов и имена службы чисел порта. Например, 445 показывается как "microsoft-ds" и 443 как "https". Выключите опцию, чтобы вывести на экран только числа порта и IP-адреса. Можно переключить Адреса Решения, нажимая Ctrl+R или щелкая по "A" кнопке на панели инструментов. Переключение этой опции не обновляет данные.

TCPView показывает все конечные точки по умолчанию. Чтобы показать только соединенные конечные точки, отмените выбор Шоу Несвязанные Конечные точки на меню опций или нажать соответствующую кнопку на панели инструментов. Отметьте, что переключение этой опции обновляет данные.

Если удаленный адрес - полностью определенное доменное имя, можно попытаться выполнить "whois" поиск информации о регистрации домена, щелкая правой кнопкой по соединению и выбирая Whois из контекстного меню. Если его поиск успешен, TCPView выводит на экран информацию в диалоговом окне как показано в рисунке 13-2.

Рис. 13-2. Следствия поиска TCPVIEW Whois.

Можно закрыть установленное соединение TCP, щелкая правой кнопкой по этому и выбирая Близкое Соединение из контекстного меню. Эта опция доступна только для соединений TCP IPv4, не IPv6. Можно также просмотреть дополнительную информацию о процессе, дважды щелкая по этому или выбирая Свойства Процесса из его контекстного меню, или можно завершить процесс, выбирая Процесс Конца из того меню.

 

Выберите Сохраняют или Сохраняют Как от меню File, чтобы сохранить выведенные на экран данные к разграниченному вкладкой текстовому ASCII-файлу. Можно также скопировать данные от одной или более строк до буфера обмена Windows, выбирая те строки и нажимая Ctrl+C.

Whois

Установки Unix обычно включают whois утилиту командной строки, чтобы искать информацию о регистрации домена и выполнить обратные поиски DNS IP-адресов. Поскольку Windows не включает один, я создал утилиту Whois. Синтаксис прост:

whois domainname [whois-сервер].

domainname параметр может быть или именем DNS такой как sysinternals.com или адресом IPv4. Можно дополнительно определить определенный whois сервер поиска, чтобы запросить. Иначе, Whois запускается, запрашивая f/d.whois-serversNET (например, com.whois-serversNET для.com доменов и uk.whois-serversNET для.uk доменов) по стандарту whois порт (TCP 43) и после отсылок к другим whois серверам. Whois перечисляет все серверы, запрошенные прежде, чем ­вывести возвращенные регистрационные данные.

Portmon

Portmon регистрирует весь ввод/элемент управления выводом последовательного и параллельного порта (IOCTL) команды и выводит на экран их в в реальном времени наряду с интересной информацией относительно их связанных параметров. Для чтения и запросов записи, Portmon выводит на экран часть данных, которые были считаны или записаны. По умолчанию эти данные показывают как символы ASCII, используя ".", чтобы представить непечатаемые символы, но можно хотеть выводить на экран данные в шестнадцатеричном формате вместо этого.

Portmon работает над всеми x86 версиями Windows и требует административных прав.

Portmon работает как многие из других Sysinternals мониторы в реальном времени. Запустите Portmon, и он сразу начинает получать команды и данные, отправленные всему сериалу (COMn) и параллели (LPTn) порты, определенные на системе, как показано в рисунке 13-3.

Отметьте, что Портмон выводит на экран только "Ошибку 2", если Вы выполняете ее на 64-разрядной версии Windows.

 Рис. 13-3. Portmon.

Можно переключить сбор данных на и прочь нажимая Ctrl + E или щелкая по значку Capture на панели инструментов, и можно позволить Автопрокрутке прокрутить новые события в дисплей, как они прибывают. Каждое событие появляется в окне Portmon как разделять строка со столбцами изменяемого размера. Если данные в определенном столбце будут более широкими, чем тот столбец может разместить, парение, то курсор по выведенному на экран тексту и Portmon выведет на экран полный текст столбца в подсказке.

Первый столбец - Portmon-присвоенный счетчик события, который сбрасывается, чтобы обнулить, когда Вы очищаете дисплей. Разрывы в этой последовательности могут произойти, если количество входящих данных превышает возможность Портмона поддержать на высоком уровне, или если фильтры (описал позже) исключают события из дисплея.

Столбец Time показывает, сколько времени запрос взял, чтобы завершиться. У Вас может быть этот дисплей столбца, время суток события вместо этого выбором Показывает Время на меню опций. Обратите внимание на те эти изменения, влияет на дисплей только для впоследствии полученных данных. Можно также скрыть столбец Time, отменяя выбор Выставочного Столбца Времени на меню опций.

Столбец Process идентифицирует имя процесса, который обращался с просьбой.

Столбец Request показывает символьное имя кода управления, отправленного порту. Имена главным образом очевидны (принятие, что Вы знаете что-то о ­связи порта­). IOCTL обозначает ввод/элемент управления выводом, и стенды IRP для пакета запроса ввода/вывода, с MJ, используемым, чтобы определить главные функции. IOCTL для того, чтобы сконфигурировать поведение устройства, в то время как IRP обычно запрашивают или содержат данные.

Столбец Port идентифицирует имя порта, которому был отправлен запрос. По умолчанию Portmon контролирует все последовательные порты, перечисленные в HKLM\Hardware\DeviceMap\SerialComm и все параллельные порты, перечисленные в Портах HKLM\Hardware\DeviceMap\Parallel. Можно выборочно отключить контроль определенных портов через подменю Ports меню Capture, как показано в рисунке 13-4. Портмон помнит Ваши выборы и повторно применяет их в следующий раз, когда это работает.

Рис. 13-4. Выбор порта Portmon.

Столбец Result показывает результат запроса.

Наконец, Другой столбец показывает дополнительные соответствующие данные о запросе. Например, для "IOCTL" скорости в бодах набора, Портмон показывает требуемую скорость в бодах в Другом столбце. Для чтения и операций записи, Portmon выводит на экран длину данных и затем по крайней мере, некоторые из данных. По умолчанию Portmon выводит на экран до 64 байтов данных в форме ASCII, используя ".", чтобы представить непечатаемые символы. Можно изменить объем данных, который показывают, выбирая Максимальные Выходные Байты из меню опций и определяя различный номер в Максимальном диалоговом окне Байтов. Можно также хотеть показывать данные в шестнадцатеричной форме вместо ASCII, ­выбирая Шоу, Шестнадцатеричное из меню опций. Обе из этих опций вступают в силу на впоследствии полученных данных. Portmon не изменяет дисплей данных, которые были уже получены.

Portmon контролирует системное использование памяти и приостанавливает его сбор данных, если это обнаруживает ту память, кончается, возобновляя получение только, когда условие низкой памяти ослабилось. Один способ ограничить собственное потребление памяти Портмона состоит в том, чтобы установить Глубину Истории в ­ненулевое значение. Эта установка, на меню опций, ограничивает число дисплеев событий Portmon, отбрасывая более старые события.

Можно увеличиться, выставочное пространство для вывода выбором Скрывают Панель инструментов на меню опций. Можно также увеличить число видимых строк, выбирая меньший размер шрифта. Выберите Шрифт из меню опций, чтобы изменить шрифт.

В отличие от большинства утилит Sysinternals, которые хранят их настройки под HKCU\Software\Sysinternals, настройки Портмона сохранены в HKCU\Software\Systems Internals\Portmon, кроме флага EulaAccepted, который находится в HKCU\Software\Sysinternals\Portmon.